Blog Widefense

Ataques a Sistemas de Control Industrial, por qué y como evitarlos

Escrito por Kenneth Daniels | 03-mar-20
Los sistemas de control industrial (ICS), están en todas partes, los encontramos tanto en sistemas de aire acondicionado de edificios como en máquinas automáticas de fabricación de productos. Este tipo de soluciones lleva décadas disponible, lo que si cambio, es que el control y la automatización es utilizando elementos computarizados y esto motiva que los ciberdelincuentes vean apetecible atacarlos, mas aun si los sistemas de seguridad no están bien implementados.
Los casos de ataques a los sistemas ICS se encuentran en crecimiento, ya no hay duda que el riesgo para sistemas energéticos y de infraestructura crítica son una realidad. Pero ¿Cuál es la motivación de estos ataques?

Los ataques a ICS tienen distintas motivaciones, tales como ganancias financieras, razones políticas objetivos militares entre otras. Es conocido el ataque a las instalaciones del puerto de Amberes en Bélgica. Este ataque que fue exitoso, le permitió al sindicato que estaba en conflicto, hacerse de información confidencial, de sistemas de seguridad, ubicaciones de contenedores, con lo cual lograron cambiar la condición de negociación y sustraer contenedores considerados estratégicos.

Los ataques a ICS han sido patrocinados por estados, empresas competidoras inclusive por hacktivistas.

 

Un Ataque a un “Sistemas de Control Industrial” ICS

El ataque a un ICS utiliza técnicas muy parecidas a los ataques a sistemas informáticos normales. Se inicia con el reconocimiento del entorno, para posteriormente identificar debilidades que sean explotables en la red del ICS. Luego el atacante intentará introducir un Malware que intentará efectuar cambios a los sistemas de control y sus ajustes de manera de alterar las operaciones.
Los efectos de estas acciones pueden ser impredecibles, dependiendo del tipo de industria que utiliza un ICS. Se pueden alterar los controladores lógicos programables (PLC), entiéndase una válvula que controla por ejemplo flujo (Gas, agua, acido), generar cambios el los terminales remotos (RTU), alterar la velocidad de rotación de motores, con las consecuencias para un sistema automatizado, como ejemplo una central nuclear. Hoy estos ataques son mas fáciles de llevar a cabo dado que las redes de servicio administrativas, conviven con las de Sistemas de Control Industrial, lo cual facilita los ataques y las infecciones de Malware orientado a ataques dirigidos a ICS. 

Los efectos últimos de estas acciones pueden ser, desde inutilizar una fuente productiva a implicar riesgo para la vida de empleados o ciudadanos en cualquier parte del mundo.

Las empresas que operan Sistemas de Control Industrial, debieran trabajar en profundidad los siguientes puntos:
 
  • Contar con un sistema de detección de anomalías de ICS
  • Contar con un Sistema de detección e información de Incidentes
  • Contar con un sistema de investigación de Incidentes de seguridad
  • Contar con herramientas especializadas de seguridad para ICS
 
 

Estrategias de seguridad

Los equipos de seguridad deben evaluar a fondo los sistemas ICS para identificar los diferentes tipos y niveles de riesgo e instalar las correspondientes salvaguardias. Para ayudarlo, Public Safety Canada creó una lista de las mejores prácticas recomendadas que las organizaciones deben seguir para asegurar sus entornos ICS:
 

EstrategiaRecomendacionesSegmentación de la redEl propósito de la segmentación de red es dividir el sistema en zonas de seguridad distintas e implementar capas de protección que aislarán partes críticas del sistema utilizando un dispositivo de aplicación de políticas.Acceso remotoFirewalls, redes privadas virtuales (VPN), callback (para acceso telefónico), autenticación de múltiples factores, control de acceso de usuario y detección de intrusos proporcionan acceso remoto «seguro» a las redes de ordenadores. Los ICS se usan a menudo en lugares remotos donde la conectividad es limitada. Por esta razón, ICS a menudo utilizan conexiones de acceso telefónico, que debe ser asegurado.Comunicaciones inalámbricasEl acceso inalámbrico a la red ICS introduce riesgos similares a los riesgos asociados con el acceso remoto, con algunos vectores de amenazas adicionales (por ejemplo, personas no autorizadas que acceden a la red inalámbrica desde fuera del perímetro de seguridad física de la planta). Además, el medio inalámbrico es extremadamente susceptible a ataques de denegación de servicio (DoS).Administración de parchesLa administración de parches es un componente importante de cualquier estrategia que involucre la seguridad general del sistema de control. En muchos casos, la única mitigación efectiva para una vulnerabilidad recién descubierta es instalar un parche o actualización de software liberado por el fabricante.Políticas de acceso y controlEl control de acceso cubre todos los aspectos del control del acceso a una red, dispositivo o servicio, incluido el acceso físico y electrónico, desde la definición de las funciones y responsabilidades de seguridad hasta el establecimiento de políticas y procedimientos de autenticación.Endurecimiento del sistemaEndurecer los componentes de un sistema significa bloquear la funcionalidad de varios componentes dentro del sistema para evitar accesos no autorizados o cambios, eliminar funciones o funciones innecesarias y corregir cualquier vulnerabilidad conocida.Detección de intrusionesTodos los sistemas requieren algún método para supervisar la actividad del sistema e identificar eventos potencialmente malintencionados en la red. Sin esto, los problemas menores de seguridad permanecerán sin ser detectados hasta que se conviertan en incidentes de seguridad críticos.Seguridad Física y AmbientalEl acceso físico a los activos críticos de ICS, mediante el uso de equipo aprobado o autorizado, debe limitarse a aquellos que necesitan acceso para cumplir con sus obligaciones. Además del control de acceso físico, el equipo crítico, como el ICS, debe estar adecuadamente protegido de los peligros ambientales.

 

Protección y detección de malwareEn general, los beneficios de ejecutar software antivirus en los hosts ICS superan con creces el riesgo de que el software antivirus pueda tener un impacto negativo en el sistema.ConcienciaLa capacitación en seguridad de ICS y la concientización del personal es una herramienta esencial para reducir los riesgos de seguridad cibernética. Es fundamental que cualquier programa de seguridad ICS incluya un programa de capacitación y concienciación para que los empleados entiendan cuál es su papel y qué se espera de ellos. Un personal bien informado y vigilante es una de las líneas de defensa más importantes para asegurar un sistema.Evaluación periódica y auditoríasNumerosos factores afectan la seguridad de un sistema a lo largo de su ciclo de vida. Por lo tanto, las pruebas periódicas y la verificación del sistema es importante para lograr una seguridad óptima.Control de cambios y gestión de configuracionesLas políticas y procedimientos de administración de cambios se usan para controlar las modificaciones en hardware, firmware, software y documentación. Se establecen para garantizar que el ICS está protegido contra modificaciones incorrectas antes, durante y después de la puesta en servicio.Planificación y respuesta ante incidentesUn plan integral de respuesta a incidentes cibernéticos debe incluir tanto medidas proactivas como medidas reactivas. Las medidas proactivas son aquellas que pueden ayudar a prevenir incidentes o mejor permitir que la organización responda cuando se produce, mientras que las medidas reactivas pueden ayudar a detectar y manejar un incidente una vez que ocurre.

 

Fuente: https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/defensive-strategies-for-industrial-control-systems

https://www.trendmicro.com/vinfo/us/security/news/cyber-attacks/why-do-attackers-target-industrial-control-systems?utm_source=trendlabs-social&utm_campaign=01-2017-why-attackers-target-ics&utm_medium=socal